CVE-2026-42610

Nome do Software Vulnerável e Versões Afetadas Grav versões anteriores a 2.0.0-beta.2

Description Um usuário com baixos privilégios, como um Editor de Conteúdo com permissões pages.update, pode burlar as restrições do sandbox do Twig utilizando o serviço grav['accounts']. Isso permite que um invasor carregue programaticamente objetos de usuários administrativos e extraia dados sensíveis, incluindo hashes de senha Bcrypt e o salt de segurança. Isso é feito acessando o contêiner de serviço interno para ignorar o filtro isDangerousFunction.

Recommendations Atualize para a versão 2.0.0-beta.2 ou posterior.